Ein neues Malware-Übermittlungstool macht in Untergrundforen die Runde. Cyberkriminelle können es jetzt problemlos mieten. Diese Bedrohung zielt speziell auf Windows-Computer ab. Der Haupttrick besteht darin, an der eigenen Verteidigung vorbeizukommen, ohne Alarm zu setzen.
Der Verkäufer bewirbt ClickFix als eine Möglichkeit, Maschinen still und leise zu infizieren. „Es umgeht die üblichen Warnsignale“, heißt es in der Werbung. „Keine großen Dateidownloads oder seltsamen Netzwerkaufrufe, die Sicherheitssoftware gerne erkennt.“ Stattdessen verleitet dieses Tool Benutzer dazu, eine gefälschte Browser-Korrektur auszuführen.
Sobald jemand klickt, platziert sich die Nutzlast im Browser-Cache. Die meisten Antiviren-Scans übersehen diese Stelle. Von da an ist esVerwendet den versteckten Datei-ExplorerBefehle zum Starten der Malware. Alles sieht unschuldig aus, als würde eine routinemäßige Browserwartung durchgeführt.
Angreifer zielen auf den Browserspeicher ab, um einer Entdeckung zu entgehen
Experten mahnen, dass dieser Ansatz einem wachsenden Trend entspricht. Kriminelle greifen zunehmend auf Browserspeicher zurück, da dieser als vom Benutzer verwalteter und temporärer Speicherplatz fungiert. Cache-Ordner speichern Webdaten wie Bilder und Skripte. Sicherheitstools sperren sie jedoch nicht wie Programmdateien.
EDR-Tools ignorieren bei Scans häufig Cache-Ordner. Sie gehen davon aus, dass diese Verzeichnisse harmlose Überbleibsel von Browsersitzungen enthalten. „ClickFix nutzt diesen blinden Fleck perfekt aus“, stellen Sicherheitsforscher fest. „Dadurch eignet sich das Werkzeug ideal für Übungen der roten Mannschaft oder tatsächliche Angriffe.“
ClickFix beginnt mitein Phishing-Köder. Opfer erhalten eine E-Mail oder einen Link mit der Meldung, dass ihr Browser ein schnelles Update benötige. Sie sehen ein Popup oder eine Verknüpfung mit der Bezeichnung „Klicken, um Cache-Fehler zu beheben“. Wenn Benutzer darauf klicken, wird im Hintergrund ein Skript ausgeführt.
Das Skript erfasst eine kleine verschlüsselte Nutzlast von einer Website, die legitim aussieht. Nichts überschreitet einige Kilobyte, sodass keine Netzwerküberwachungen ausgelöst werden. Als nächstes kommt es zur eigentlichen Aktion. Das Skript dekodiert die Nutzlast und legt sie im Cache-Verzeichnis des Browsers ab. Unter Windows könnte dies der Ordner „Benutzerdaten/Standard/Cache“ von Chrome sein.
Die Malware benennt die Datei um, um eine Miniaturansicht oder eine temporäre Datei nachzuahmen. Namen wie „cache_001.dat“ erleichtern die Einordnung. Es finden keine Schreibvorgänge in Systemordnern statt. Es finden keine Registrierungsänderungen statt, die Malware hervorrufen würden.
Wie ClickFix ausgeführt wird, ohne Alarme auszulösen
Zur Ausführung erstellt ClickFix einen getarnten Befehl für den Datei-Explorer. Etwas wie „explorer.exe /root,CacheFolder:RunPayload“ fügt sich in die normale Explorer-Aktivität ein. Dadurch werden Verhaltensregeln in Tools wie CrowdStrike oder Microsoft Defender umgangen.
Laut Dark Web Informer kann die Malware alles tun, sobald sie ausgeführt wird. „Daten stehlen, Ransomware einsetzen oder eine Hintertür einrichten“, bestätigen Forscher. Der Verkäufer behauptet, EDR-sicher zu sein, weil die Toolketten kurzlebige Prozesse ermöglichen. Jeder Schritt dauert nur wenige Sekunden, unbemerkt von Speicherscans oder Prozessbäumen.
Diese Mehrzweckfähigkeit spiegelt die Taktiken hochentwickelter staatlich geförderter Gruppen wie der widerDie Lazarus Group setzt macOS-Malware ein, um Blockchain-Ingenieure ins Visier zu nehmenDies zeigt, dass das Ziel dasselbe ist, egal ob es sich um Cyberkriminelle handelt, die in Foren Tools mieten, oder um Nationalstaaten, die Spionage betreiben: stille Infiltration mit größtmöglichem Schaden.
Forscher haben eine Probe getestet und bestätigt, dass sie grundlegende Signaturen umgeht. Allerdings könnten fortgeschrittene Verhaltensanalysen den Explorer-Missbrauch erkennen, wenn Verteidiger ihre Systeme richtig optimieren.
In Forenbeiträgen auf Websites wie Exploit.in oder BreachForums wurde die Werbung letzte Woche vorgestellt. Ein Demovideo zeigt, wie es eine virtuelle Maschine infiziert, ohne dass Warnungen ausgelöst werden.
Verkaufsdetails und Verteidigungsempfehlungen
Das Gesamtpaket kostet 300 US-Dollar in Kryptowährung. Käufer erhalten den Quellcode in JavaScript und PowerShell, eine Builder-GUI, eine Einrichtungsanleitung und eine fertige Vorlage für Köder. „Für 200 US-Dollar extra passen wir die Phishing-Seite an Marken wie Google oder Microsoft an“, wirbt der Verkäufer. Die Lieferung erfolgt sofort über verschlüsselte Links, lebenslange Updates sind versprochen.
Diese Entwicklung hat wirklich Gewicht. Ähnliche Cache-basierte Angriffe wie die 2025 Magecart-Varianten versteckten Zahlungs-Skimmer im Browserspeicher. Der Sicherheitsexperte Brian Krebs berichtete ausführlich über diese Vorfälle. Da Browser ihr Sandboxing verschärfen, wird der Cache-Missbrauch wahrscheinlich zunehmen.
Organisationen sollten jetzt Cache-Ordner in EDR-Regeln scannen. Sie müssen ungewöhnliche Explorer-Argumente blockieren und Benutzer über Fake-Fix-Betrügereien schulen. Verteidiger müssen schnell handeln, indem sie die Browserrichtlinien aktualisieren, um den Cache beim Beenden zu leeren. Sie sollten die PowerShell-Aktivität in Browsern genau überwachen.
Bedrohungsjäger sollten nach Anomalien in Dateien suchen, die Mustern wie „cache_*.dat“ in Browserverzeichnissen entsprechen. Dieser Low-Tech-Trick beweist, dass das Umgehungswettrüsten niemals wirklich endet. Die Werkzeuge ändern sich; Der Katz-und-Maus-Kampf zwischen schlechten Akteuren und Verteidigern geht jedoch weiter.
Für den durchschnittlichen Benutzer ist die beste Verteidigung ein guter Angriff, beginnend mit einem Browser, der auf Datenschutz und Sicherheit ausgelegt ist. KasseUnsere Liste der sichersten Browserfür privates Surfen, um herauszufinden, welche Optionen den stärksten Schutz vor Cache-basierter Malware wie ClickFix bieten.